Тема: Elasticsearch Logstash Kibana (AWS)

Есть такой замечательный сервис, можно и самому поднять, дело вкуса и финансов.

what-is-amazon-elasticsearch-service

Так вот, задача с балансеров и веб серверов собрать статистику, и что-то с ней сделать. Например проанализировать. Вся статистика это nginx access/error лог и haproxy модифицированный лог.

Как настраивать ELK не рассматриваю, все описано хорошо у AWS если брать как сервис и тут elastic guide если делать у себя. Приступаем сразу к отправки логов в ELK. Для этого я использую Filebeat

cat /etc/filebeat/filebeat.yml
filebeat:
  prospectors:
    - tags:
        - haproxy
      paths:
        - /var/log/haproxy.log
      pipeline: haproxy
      input_type: log
      fields_under_root: true
      fields:
        document_type: syslog
output:
  elasticsearch:
    hosts: ["https://elk:443"]
logging:
  to_syslog: true
  to_files: false
  level: warning

"pipeline: haproxy" появилось в новых версиях, ingest, раньше получающий сервис парсил все что приходит, теперь надо указать по какому правилу должен проходить данный лог в grok фильтре.

Лог у меня не стандартный и мне надо только 2 IP

Nov  3 12:52:49 group-lb-1 haproxy[574]: 1.1.1.1 2.2.2.2 [03/Nov/2017:12:52:49.088] http~ backend_main/server-1 6/0/1/7/14 200 169 - - ---- 16/16/0/1/0 0/0 "GET /api/aaa HTTP/1.1"

Для этого создаем и по API закачиваем все фильтры на сервер

curl -XPUT 'https://elk:443/_ingest/pipeline/haproxy?pretty' -H 'Content-Type: application/json' -d'
{
  "description" : "haproxy grok",
  "processors": [
    {
      "grok": {
        "field": "message",
        "patterns": [
          ".*haproxy.*: (%{IP:client_ip1}(:[0-9]+)? (%{IP:client_ip2}|-)?.*|.*)"
        ]
      }
    }
  ]
}
'
curl -XPUT 'https://elk:443/_ingest/pipeline/nginx?pretty' -H 'Content-Type: application/json' -d'
{
  "description" : "nginx grok",
  "processors": [
    {
      "grok": {
        "field": "message",
        "patterns": [
          "%{IPORHOST:nginx.access.remote_ip} - %{DATA:nginx.access.user_name} \\[%{HTTPDATE:nginx.access.time}\\] \"%{WORD:nginx.access.method} %{DATA:nginx.access.url} HTTP/%{NUMBER:nginx.access.http_version}\" %{NUMBER:nginx.access.response_code} %{NUMBER:nginx.access.body_sent.bytes} \"%{DATA:nginx.access.referrer}\" \"%{DATA:nginx.access.agent}\""
        ]
      }
    }
  ]
}
'

Еще можно много чего сделать по тому же API

Удалить индекс
curl -XDELETE 'https://elk:443/filebeat-*'
Положить
curl -XPUT 'https://elk:443/_template/filebeat' -d@/etc/filebeat/filebeat.template.json
Посмотреть
curl -XGET 'https://elk:443/*?pretty'
curl -XGET 'https://elk:443/filebeat-2017.11.03/_search?pretty'
curl -XGET 'https://elk:443/_ingest/pipeline/haproxy?pretty'

Все, проверяем

curl -XGET 'https://elk:443/filebeat-2017.11.03/_search?q=tags:haproxy&pretty'
...
      {
        "_index" : "filebeat-2017.11.03",
        "_type" : "doc",
        "_id" : "AV-BNurLw3Lo4q9lqhOD",
        "_score" : 4.569596,
        "_source" : {
          "offset" : 5005488,
          "input_type" : "log",
          "source" : "/var/log/haproxy.log",
          "message" : "Nov  3 09:29:35 ... HTTP/1.1\"",
          "type" : "log",
          "client_ip1" : "1.1.1.1",
          "client_ip2" : "2.2.2.2",
          "tags" : [
            "haproxy"
          ],
          "@timestamp" : "2017-11-03T09:29:35.911Z",
          "beat" : {
            "hostname" : "group-lb-1",
            "name" : "group-lb-1",
            "version" : "5.6.3"
          },
          "document_type" : "syslog"
        }
...

Добавлено: 19-12-2017 12:02:26

Elasticsearch Logstash Kibana (NON-AWS)